电子商务安全论文范文
时间:2023-04-12 00:39:44
导语:如何才能写好一篇电子商务安全论文,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
关键词:电子商务;身份认证;防火墙
1引言
电子商务可以增加销售额并降低成本的优势,使得政府与企业都十分重视并推动电子商务的建设和发展。电子商务发展到今天,主要问题在于时空的分离导致了安全问题的出现,信息的安全性是当前发展电子商务最迫切需要解决的问题之一。研究和分析电子商务的安全性问题,特别是针对企业自身情况,充分借鉴以往电子商务系统开发的先进技术和经验,开发出符合企业特殊的电子商务系统,已经成为目前发展电子商务的关键,而安全体系的构建显得尤为重要。
2电子商务的主要安全要素
目前电子商务工程正在全国迅速发展。实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看,传统的买卖双方是面对面的,因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系,由于距离的限制,因而建立交易双方的安全和信任关系相当困难。时空的分离导致了安全问题的出现,电子商务交易双方(销售者和消费者)都面临安全威胁,电子商务的安全要素主要体现在以下几个方面:
2.1信息真实性、有效性
电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。
2.2信息机密性
电子商务作为贸易的一种手段,其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。
3.3信息完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。
3.4信息可靠性、不可抵赖性和可鉴别性
可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。
在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在1nternet上每个人都是匿名的,电子商务系统应充分保证原发方在发送数据后不能抵赖;接收方在接收数据后也不能抵赖。
3电子商务安全系统
网络安全是电子商务的基础。为了保证电子商务交易能顺利进行,要求电子商务平台要稳定可靠,能不中断地提供服务。任何系统的中断,如硬件、软件错误,网络故障、病毒等都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。
所以就整个电子商务安全系统而言,安全性可以划分为四个层次,
1)网络节点的安全
2)通讯的安全性
3)应用程序的安全性
4)用户的认证管理
其中2、3、4是通过操作系统和Web服务器软件实现,而网络节点的安全性依靠防火墙保证,我们应该首先保证网络节点的安全性。
3.1网络节点的安全
防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供个相对更安全的平台。
防火墙是在连接Internet和Intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet系统。应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
3.2通讯的安全
在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。建立SSL链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。
3.3应用程序的安全性
即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现象这些问题一样的错误。
3.4用户的认证管理
1)身份认证
电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。
2)CA证书
要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。
3)安全套接层SSL协议
安全套接层SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。
SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(CA,CertificateAuthority)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。
SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如Http、Ftp、Telnet等)以保证应用层数据传输的安全性。
SSL协议握手流程由两个阶段组成:服务器认证和用户认证。
①服务器认证
客户端向服务器发送一个“Hello”信息,以便开始一个新的会话连接;服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。这样通过主密钥引出的密钥对一系列数据进行加密来认证服务器,从而建立安全的通信通道。
②用户认证
经认证的服务器发送一个提问给客户,客户则返回数字签名后的提问和其公开密钥,从而向服务器提供认证。SSL协议支持各种加密算法,实现简单,独立于应用层协议,且被大部分浏览器和Web服务器内置,便于在电子交易中应用。但SSL是一个面向连接的协议,起初并不是为了支持电子商务而设计的,只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,SSL协议不能协调各方面的安全传输和信任关系。为此,开发出了在网络应用层中专为电子商务而设计的SET协议。
4安全管理
为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制。对于所有接触系统的人员,按其职责设定其访问系统的最小权限。按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。
建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。定期检查日志,以便及时发现潜在的安全威胁。
对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。
5结束语
安全实际上就是一种风险管理。任何技术手段都不能保证1OO%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全只是相对的,而不是绝对的。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。
参考文献:
[1]吴洋.电子商务安全方法研究[D].天津大学,2006.
[2]李艳.电子商务信息安全策略研究[J].甘肃科技,2005,(06)
[3]成卫青,龚俭.网络安全评估[J].计算机工程,2003,(02).
篇2
[论文摘要]在如何对待信用卡套现的问题上,国内领先的第三方支付平台如PAYPAL(贝宝)、支付宝、快钱等目前都采用了多种安全措施。
在电子商务中,网上交易的支付问题的安全性问题越来越突出,为确保顾客在购买东西的时候不会钱财两空,一种新的支付方式——第三方支付出现了,第三方支付平台的出现解决了电子商务的瓶颈——网上支付信用与安全问题,充当商家与消费者之间的信用纽带,作为交易各方与银行的接口,消除消费者对商家的疑虑,提供方便快捷简易的支付方式,在很大程度上推动了电子商务的发展。
那么,第三方支付具体指的是什么呢?所谓第三方支付,是指为了保障电子商务的支付安全,支付通过买卖双方之间完全中立的一家企业来完成。用E-mail来进行网上支付;打个电话报上信用卡号就能预订机票;用手机上网交水费电费游戏费……在中国人还没有完全适应从纸制货币进化到“塑胶货币”(信用卡)的今天,网络银行、手机钱包等第三方支付工具已经迫不及待地登场了。
近日,有媒体报道,有网民利用三方支付工具从信用卡套现。就此,该文进而对第三方支付的安全性问题提出质疑,认为电子支付有可能被金融犯罪分子所利用,充当其洗钱的工具。且不管该文提到的套现现象是否属于依然在可控范围内的小概率事件,也不提所谓的套现行为是否缘于第三方支付的安全漏洞,单就所谓洗钱的担心而论,可以说,该文是严重低估了央行以及各商业银行的风险控制能力,也大大低估了各大第三方支付公司的风险把控能力。
实际情况是,早在1996年4月1日,中国人民银行就颁布并实施了《信用卡业务管理办法》,其中明确规定,持卡人不允许利用信用卡套取现金以及恶意透支。对于信用卡套现这个问题,不光招商银行等商业银行关注有加,第三方支付公司支付宝、贝宝等亦是小心翼翼,如履薄冰,先后出台了多项严格的风险控制系统,协助银行解决问题。
在如何对待信用卡套现的问题上,国内领先的第三方支付平台如PAYPAL(贝宝)、支付宝、快钱等目前都采用了多种安全措施。
例如,PAYPAL(贝宝)在防止盗号、提供密码加密以及减少信用卡套现等方面,已经配合银行做了大量工作;快钱除了从技术手段上防范盗卡之外,还在安全方面加设了用户的认证系统等六道功能,试图将安全隐患压低到最小程度。
作为国内最大的第三方支付平台,支付宝的做法就更为完备。早在2006年7月,支付宝就推出“支付宝认证”服务,对所有使用支付宝的卖家进行双重身份认证,即身份证认证和银行卡认证。除了与公安部全国公民身份证号码查询服务中心合作校验身份证的真伪,支付宝还与各大商业银行进行合作,利用银行账户实名制信息来校验用户填写的姓名和银行账户号码是否准确,摒弃了某些购物网站仅凭一个手机号码或者身份证号码进行简单认证的模式。支付宝公司还在国内率先推出了“全额赔付”制度和交易安全基金,网络欺诈发生率仅为万分之二。
为了保证支付宝的安全性,支付宝技术团队还自发研制了数字证书,其安全性能得到各银行认同。相对于目前国内所有第三方认证公司采用的认证形式,支付宝的数字证书从技术上摆脱了普通6位密码验证,改以1024位加密的数字签名技术,因而更为安全。而数字密码的惟一性,也更有助于客户身份的识别。
央行的《电子支付指引》规定,银行通过互联网为个人客户办理电子支付业务,除采用数字证书、电子签名等安全认证方式外,单笔金额不应超过1000元人民币,每日累计金额不应超过5000元人民币,并规定信用卡的网上支付不得超过提现额度。国内目前没有一家银行和任何一家网上支付公司允许网上“单日支付额度由信用卡额度决定”。在这方面,支付宝也早已主动和和很多发卡银行联手,针对套现现象做了信用卡网上支付单笔限额的规定,例如,招商银行的信用卡支付限制的是单笔最高限额499元。为了保证支付宝的安全性,支付宝还有CTU风险控制系统来随时扫描和监控交易的进行,防范可能存在的盗卡及套现行为。
实际上,从2006年5月开始,支付宝就已委托中国工商银行对支付宝公司开立在各家银行的客户交易保证金账户的余额进行核查,工行并定期出具《支付宝客户交易保证金托管报告》。这是中国银行界第一次为第三方支付平台做资金托管的审核报告,也是当前唯一银行愿意托管的第三方支付平台。2006年12月8日,从工行对11月1日~11月30日期间所有发生的支付宝公司的客户提现及余额支付进行的抽查情况看,支付宝存放在各家银行的客户交易保证金余额总和等于支付宝客户存放在贵公司的资金余额与待处理款、未达款余额之和,报告期间内未发现支付宝客户交易保证金被挪用情况。
值得一提的是,截至目前工行、农行都已经开始把以支付宝为主的阿里巴巴中小企业信用体系作为他们给中小企业贷款的一个衡量指标;而浦东发展银行等也看到了里面的巨大商机纷纷加入。
篇3
关键词:电子商务;身份认证;防火墙
一、有关电子商务的安全性要求
1.对电子商务活动安全性的要求:
(1)服务的有效性要求。电子商务系统应能防止服务失败情况的发生,预防由于网络故障和病毒发作等因素产生的系统停止服务等情况,保证交易数据能准确快速的传送。
(2)交易信息的保密性要求。电子商务系统应对用户所传送的信息进行有效的加密,防止因信息被截取破译,同时要防止信息被越权访问。
(3)数据完整性要求。数字完整性是指在数据处理过程中,原来数据和现行数据之间保持完全一致。为了保障商务交易的严肃和公正,交易的文件是不可被修改的,否则必然会损害一方的商业利益。
(4)身份认证的要求。电子商务系统应提供安全有效的身份认证机制,确保交易双方的信息都是合法有效的,以免发生交易纠纷时提供法律依据。
2.电子商务的主要安全要素
(1)信息真实性、有效性。电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。
(2)信息机密性。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。
(3)信息完整性。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。
(4)信息可靠性、可鉴别性和不可抵赖性。可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。
在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在internet上每个人都是匿名的,电子商务系统应充分保证原发方在发送数据后不能抵赖;接收方在接收数据后也不能抵赖。
二、电子商务采用的主要安全技术
1.网络节点的安全
防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供一个相对更安全的平台。
防火墙是在连接Internet和Intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet系统。应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
2.通讯的安全
在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。验证个人证书是为了验证来访者的合法身份,而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。[论/文/网LunWenNet/Com]
3.应用程序的安全性
即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现像这些问题一样的错误。
4.用户的认证管理
(1)身份认证。电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。
(2)CA证书。要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书。
(3)安全套接层SSL协议。安全套接层SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。
SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(CA,CertificateAuthority)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。
SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如Ht2tp、Ftp、Telnet等)以保证应用层数据传输的安全性。SSL协议握手流程由两个阶段组成:服务器认证和用户认证。
三、电子商务安全需要进一步完善的配套措施
电子商务要真正成为一种主导的商务模式,尤其对发展中的中国来说,发展电子商务,就必须从以下几个方面来完善配套措施:
(1)突破关键技术受制于人的瓶颈。
(2)我国应尽快对电子商务的有关细则进行立法。
(3)大力开发大型商务网站,发展与之相配套的物流公司。
(4)为了确保系统的安全性,除了采用技术手段外,还必须建立严格的内部安全机制。
(5)建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。
(6)对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。
安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全只是相对的,而不是绝对的。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。[论\文\网LunWenNet\Com]
参考文献:
[1]吴洋.电子商务安全方法研究[D].天津:天津大学,2006.
[2]李艳.电子商务信息安全策略研究[J].甘肃科技,2005(6).
[3]成卫青,龚俭.网络安全评估[J].计算机工程,2003(2).
[4]甘悦.浅议电子商务信息安全体系的构建[J].西北成人教育学报,2007(2).
[5]周明,黄元江,李建设.电子商务中的安全技术研究[J].株洲工学院学报,2005(1).
[6]张娟.电子商务网络安全技术探究[J].甘肃科技纵横,2005(4).
[7]赵乃真.电子商务技术与应用[M].北京:中国铁道出版社,2003.
篇4
关键词:密钥托管证书授权认证公开密钥公钥基础设施托管证书
网络的安全问题得到人们的日益重视。网络面临的威胁五花八门:内部窃密和破坏,截收,非法访问,破坏信息的完整性,冒充,破坏系统的可用性,重演,抵赖等。于是公钥基础设施(PublicKeyInfrastructure,PKI)应运而生。PKI是电子商务和其它信息系统的安全基础,用来建立不同实体间的“信任”关系。它的基础是加密技术,核心是证书服务。用户使用由证书授权认证中心(CertificateAuthority,CA)签发的数字证书,结合加密技术,可以保证通信内容的保密性、完整性、可靠性及交易的不可抵赖性,并进行用户身份的识别。
1.密钥托管KE与密钥托管KEA的概念
在电子商务广泛采用公开密钥技术后,随之而来的是公开密钥的管理问题。对于中央政府来说,为了加强对贸易活动的监管,客观上也需要银行、海关、税务、工商等管理部门紧密协作。为了打击犯罪,还要涉及到公安和国家安全部门。这样,交易方与管理机构就不可避免地产生联系。为了监视和防止计算机犯罪活动,人们提出了密钥托管(KeyEscrow,KE)的概念。KE与CA相接合,既能保证个人通信与电子交易的安全性,又能实现法律职能部门的管理介入,是今后电子商务安全策略的发展方向。
密钥托管技术又称为密钥恢复(KeyRecovery),是一种能够在紧急情况下提供获取信息解密密集新途径的技术。它用于保存用户的私钥备份,既可在必要时帮助国家司法或安全等部门获取原始明文信息,也可在用户丢失、损坏自己的密钥后恢复密文。
执行密钥托管功能的机制是密钥托管(KeyEscrowAgent,KEA)。KEA与CA是PKI的两个重要组成部分,分别管理用户的私钥与公钥。KEA对用户的私钥进行操作,负责政府职能部门对信息的强制访问,不参与通信过程。CA作为电子商务交易中受信任和具有权威性的第三方,为每个使用公开密钥的客户发放数字证书,负责检验公钥体系中公钥的合法性。因此它参与每次通信过程,但不涉及具体的通信内容。
2.安全密钥托管的步骤
密钥托管最关键,也是最难解决的问题是:如何有效地阻止用户的欺诈行为,即逃脱托管机构的跟踪。为防止用户逃避脱管,密钥托管技术的实施需要通过政府的强制措施进行。用户必须先委托密钥托管进行密钥托管,取得托管证书,才能向CA申请加密证书。CA必须在收到加密公钥对应的私钥托管证书后,再签发相应的公钥证书。
为了防止KEA滥用权限及托管密要的泄漏,用户的私钥被分成若干部分,由不同的密钥托管负责保存。只有将所有的私钥分量合在一起,才能恢复用户私钥的有效性。
(1)用户选择若干个KEA,分给每一个一部分私钥和一部分公钥。根据所得的密钥分量产生相应的托管证书。证书中包括该用户的特定表示符(UniqueIdentify,UID)、被托管的那部分公钥和私钥、托管证书的编号。KEA还要用自己的签名私钥对托管证书进行加密,产生数字签名,并将其附在托管证书上。
(2)用户收到所有的托管证书后,将证书和完整的公钥递交给CA,申请加密证书。
(3)CA验证每个托管证书的真实性,即是否每一个托管都托管了一部分有效的私钥分量,并对用户身份加以确认。完成所有的验证工作后,CA生成加密证书,返回给用户。3.司法部门利用KE对信息的强制访问
所有传送的加密信息都带有包含会话密钥的数据恢复域(DataRecoveryField,DRF),它由时间戳、发送者的加密证书、会话密钥组成,与密文绑定在一起传送给接收方。接收方必须通过DRF才能获得会话密钥。在必要时,司法部门可利用KEA,通过DRF实现对通信内容的强制访问。
在司法部门取得授权后,首先监听并截获可疑信息,利用DRF中发送者的加密证书获得发送者的托管标示符及其对应的托管证书号,然后把自己的授权证书和托管证书号交给相应的密钥托管。KEA验证授权证书的真伪后,返回自己保管的那部分私钥。这样在收集了所有的私钥成分后,司法部门就能恢复出发送者的私钥,再结合接收者的公钥及时间戳,就能破解会话密钥,进而破解整个密文。由于密钥托管不参与通信过程,所以在通信双方毫无察觉的情况下,司法部门就能审查通信内容。
4.结束语
自从1993年美国政府颁布密钥托管加密标准EES,有关密钥托管的研究一直是密码学领域一个持续的研究热点。在电子商务时代,国家为了能够管理和控制电子商务的健康发展,必须强制实施一定形式的密钥托管技术,以便及时发现和阻止非法商务活动,并为司法部门提供取证的方便。
参考文献
[1].卢铁成.信息加密技术四川科学出版社1989
[2].陈伟东,翟起滨.二类基于离散对数问题的信息恢复多签名体制.密码与信息,1998.1
[3].NationalInstituteforStandardsandTechnology.EscrowedEncryptionStandard.FederalInformationProcessingStandardsPublication185,U.S.DeptofCommerce,1994
[4].BellareM,GoldwasserS.Verifiablepartialkeyescrow.In:ProceedingsofFourthAnnualConferenceonComputerandCommunicationsSecurity,ACM,1997
KeyEscrowTechnologyinElectronicCommerceBasedonPKI
篇5
[关键词]电子商务反向网站资源安全DNS
一、引言
电子商务是利用先进的电子技术进行商务活动的总称。它通过网络、使用先进的信息处理工具,利用计算机这种载体,将买卖双方的商务信息、产品信息、销售信息、服务信息,以及电子支付等活动,用相互认同的交易标准来实现。进行电子商务活动的最基础平台是电子商务网站,电子商务网站在企业的电子商务体系中有着重要的作用,其安全直接关系企业实施电子商务能否成功。
目前,对电子商务网站的保护,采用最多的方法是使用防火墙技术,只允许用户访问网站的WEB服务,过滤掉对网站服务器其他服务的访问。这种方法有一个问题:网站的WEB服务对外来说是完全暴露的,用户可以直接和网站服务器通信。
二、反向技术
通常的一般称为正向,只用于内部网络对外部网络的连接请求,不支持外部网络对内部网络的访问请求(因为内部网络对外部网络来说是不可见的)。当一个服务器能够外部网络上的主机访问内部网络时,这种的方式称为反向。
反向就是通常所说的WEB服务器加速,它是一种通过在繁忙的WEB服务器和外部网络之间增加一个高速的WEB缓冲服务器来降低实际的WEB服务器的负载的一种技术。反向是针对WEB服务器提供加速功能的,作为缓存,它并不是针对浏览器用户,而针对一台或多台特定WEB服务器,它可以外部网络对内部网络的访问请求。
反向服务器会强制将外部网络对要的服务器的访问经过它,这样反向服务器负责接收客户端的请求,然后到源服务器上获取内容,把内容返回给用户并把内容保存到本地,以便日后再收到同样的信息请求时,它会把本地缓存里的内容直接发给用户,以减少后端WEB服务器的压力,提高响应速度,的服务器对外部网络来说是不可见的。
反向服务器的工作流程归纳如下:
1.用户通过域名发出访问WEB服务器的请求,该域名被DNS服务器解析为反向服务器的IP地址,因此用户的请求被重定向到反向服务器。
2.反向服务器接受用户的请求。
3.反向服务器在本地缓存中查找请求的内容,找到后直接把内容发送给用户。
4.如果本地缓存里没有用户所请求的信息内容,反向服务器会代替用户向源WEB服务器请求同样的信息内容,并把信息内容转发给用户,如果信息内容是可缓存的还会把它保存到缓存中。
实施反向,只要将反向服务器放置在要的WEB服务器前端并在DNS系统中将要的服务器域名解析为反向服务器IP地址(达到强制将外部网络对要服务器的访问经过反向服务器的目的)即可,如图1所示:
在企业的电子商务网站建设中采用反向技术后,解决了网站服务器对外可见的问题,还有如下几个突出优点:
1.节约了有限的IP地址资源。企业内所有的网站共享一个在Internet中注册的IP地址,这些服务器分配私有地址,采用虚拟主机的方式对外提供服务。
2.保护了真实的WEB服务器。企业内所有网站服务器对外都不可见,外网只能看到反向服务器,而反向服务器上并没有存放实际的资源,因此,可以保证真实WEB服务器上资源的安全。
3.加快了对网站的访问速度,减轻WEB服务器的负担。反向服务器具有缓存网页的功能,如果用户需要的内容在缓存中,则可以直接从服务器中取得,减轻了WEB服务器的负荷,同时也加快了用户的访问速度。
三、反向服务器的部署
目前,能够实现反向的软件有很多,但用的最多还是由美国政府大力助的Squid开源免费软件,该软件可运行在任何平台上,本文选择Linux操作系统来部署Squid,因为Linux系统也是开源免费的。
1.Squid软件的获取。可以从squid-网站下载squid软件的最新版本,本文下载的是squid-2.6.STABLE13.tar.gz。2.Squid软件的安装。
(1)将获取的文件squid-2.6.STABLE13.tar.gz拷贝到/tmp目录;
(2)解压该文件,运行tarxvzfsquid-2.6.STABLE13.tar.gz命令,在/tmp目录中生成名为squid-2.6.STABLE13的目录;
(3)进入该目录,执行./configure,系统缺省将软件安装在/usr/local/Squid目录,用户也可以用--prefix=目录,指定安装目录;
(4)运行make;
(5)运行makeinstall;
(6)如没有错误,安装结束,Squid的可执行文件在安装目录的bin子目录下,配置文件在ctc子目录下。
3.Squid软件的配置。通过squid配置反向主要就是配置“squid.conf”这个配置文件,Squid2.6中和反向配置相关的主要包含以下三项(详细配置可参考squid-):
(1)http_port配置反向服务器的IP地址(和外网相连地址)和监听端口http_port202.115.144.30:80vhostvport。
(2)cache_peer配置内部的WEB服务资源,该资源可以是真实WEB服务器的IP地址,也可以是的域名(内部可见的域名),一般都采用IP地址,需要反向几个WEB服务器就要有几个对应。的配置cache_peer192.168.1.254parent800no-queryoriginserver
(3)cache_peer_domain指定对外部的资源(外网可见的域名)与真实资源的对应关系,同样,需要反向几个WEB服务器就要有几个对应的配置。
4.DNS系统的配置。在DNS服务器中将所有需要的真实WEB服务器的域名对应于反向服务器的IP地址INA202.115.144.30,经过这样对Squid配置和DNS的修改后,对的访问都会由反向服务器202.115.144.30定向到192.168.1.254这台真实的WEB服务器。
四、反向服务器的安全
Squid本身不具有认证程序,但是可以通过外部认证程序来实现用户认证,最常用的是采用NCSA认证,因为NCSA认证是Squid源代码包自带的一个外部认证程序。操作方法如下:
1.cd/tmp/squid-2.6.STABLE13/auth-modules/NCSA。
2.make;makeinstall。
3.编译成功后,会生成ncsa-auth的可执行文件,拷贝生成的执行文件ncsa-auth到/usr/local/squid/bin目录cpncsa_auth/usr/local/squid/bin。
4.修改squid.conf中的相关选项如下所示:
Authenticate_program/usr/local/squid/bin/ncsa_auth/usr/local/squid/etc/passwd。
5.定义相关的用户类aclauth_userproxy_authREQUIRED。
注意,REQUIRED关键字指明了接收所有合法用户的访问。
6.设置http_access。
http_accessallowauth_user。
7.利用apache携带的工具软件htpasswd在/usr/local/squid/etc下生成密码文件并添加相应的用户信息,该密码文件每行包含一个用户的用户信息,即用户名和密码;htpasswd-c/usr/local/squid/etc/passwdtesttest。这样就在密码文件passwd中添加用户和密码都是test的用户。然后重新启动Squid,密码认证就生效了,访问服务器就需要输入账号和密码。
五、结束语
反向方式不单是一种WEB服务器加速器,而且使也一种对外提供WEB时使用的有效的防火墙技术,使用它不但能节约紧缺的IP地址资源,加速WEB服务器的访问速度,而且能够保护WEB服务器,因此能够适应多种应用场合,特别是应用在电子商务这种对安全要求特别高的场合。
参考文献:
篇6
1.1系统中的安全隐患
当前的电子商务的系统中的安全隐患有三个层面,包括引用系统安全隐患、网络系统安全隐患和操作系统安全隐患。针对这三个层面,就要求我们密切保护网络的安全,使用者自身也要保护自己的个人信息,如不在公共网络保存自己的账号密码,当然还应该定期检查信息的储存空间以及整理各个系统的资源。
1.2信息被窃取和篡改
在电子商务交易的进行中,如果密码过于简单或者使用者在公共网络中保存了账户密码,就致使黑客或者其他的入侵者更轻而易举地截取重要的信息,进而通过分析这些信息,获取规律,导致全部内容的窃取。更有甚者,入侵者会对使用者的传输内容进行篡改,或者对信息内容进行恶意的破坏,就会给用户造成更大的损失。因此,应对这种现状,应该改善加密技术,同时使用者应进行复杂的加密。
1.3计算机病毒
由于电子商务广泛普及,使得数据以及信息交易的内容都是通过网络来进行传播的。虽然使交易更为方便快捷,但同时,也提供给了计算机病毒一种更为迅速的传播方式。一旦出现计算机病毒,就会导致计算机的各个资源被篡改,计算机的功能被破坏使得无法正常运行工作,甚至还会传染给其他的计算机。
1.4认证安全存在漏洞
我们正处在一个便携性的信息化时代,电子商务规模逐渐扩大,但是网络交易的认证安全上存在着很多漏洞。当前还存在一些电子商务交易中仍未解决的问题,譬如,网络用户IP地址的频繁盗用,使得IP地址存在很大的冲突,进而导致网络的很多账号被盗取。
1.5电子邮件的伪造
伪造者在交易用户进行合法交易的过程中,会伪造大量的电子邮件,使得网络拥堵,导致商家的资源严重短缺,致使合法用户无法进行访问行为,这就使得响应的时间增长,交易过程变得混乱。
1.6否认交易行为
电子商务中,交易者否定自己发送给对方的交易信息内容,又或者不承认接收到原本接收到的内容。交易双方中有一方单方面的撕毁了协议。
1.7管理层面存在漏洞
电子商务的非面对面交易的存在形式,必不可免地使得电子商务的管理存在局限性。不明确的管理制度和不到位的管理措施,以及众多的单位和用户疏于管理电子商务的交易,给网络黑客以及计算机病毒的攻击提供了便利。基于此,就需要电子商务的交易双方设置更为健全的软硬件和网络操作系统,同时应当提高安全防范意识,及时清理电脑的垃圾信息,预防病毒的侵入。
2计算机安全技术在电子商务中的应用
电子商务迅猛发展,同时它的发展空间和发展前景也是不容忽视的。为了确保电子商务的长足发展,就需要重视电子商务中存在的安全隐患问题,只有更好地解决这些安全隐患,才能降低对计算机造成的风险和影响。综合运用多种计算机安全技术能够更大程度地确保电子商务交易的安全进行。
2.1身份识别技术
身份识别技术能保护合法的用户拥有应用网络资源的权利,方便统一管理用户,避免了入侵者的攻击和破坏。当然身份识别是针对参与交易双方进行的,只有这样,才能保证电子商务交易的有序进行,保护了双方的合法权益。
2.2数据加密技术
对电子商务交易中涉及的重要信息和数据进行加密,常用的加密方法包括公开密钥加密和专用密钥加密。这种技术能够维持电子商务交易的顺利进行,同时,还能避免入侵者对重要信息的攻击和破坏。提高了信息和数据的安全性和可靠性。
2.3数据加密技术
众所周知,在电子商务中由于非面对面交易,不可避免地会出现许多不确定的因素。数据加密技术能够有效预防和打击多种不确定因素的入侵。在交易过程的最初阶段即信息初步的互换过程就能使用数据加密技术。具体的实施流程是,在电子商务交易的过程之中,交易生成的那一方会有两个密钥,其中一个作为公共密钥,交易的另一方通过该密钥将重要数据和信息进行加密后,确保发送的数据的安全性和准备性,最后才进行最终的电子商务交易。
2.4访问控制技术该技术
篇7
1盗取信息
保存着互联网上的信息在传输过程中,通常情况下都需要进行加密处理,一旦发生加密措施不到位或者缺少保护措施,那么就给了入侵者可乘之机,他们可以掌握信息的传输格式和规律等,将截取的信息进行分析对比,这样就能够得到消费者的个人身份信息甚至个人银行卡密码等重要私密信息。或者经过非法手段盗取企业的商业机密,将信息外泄,给个人和企业的安全带来了极大的威胁和困扰。
2篡改信息
我们在进行电子商务交易之前首先需要在网上进行个人基本信息注册,某些甚至需要实名制,填写身份证号和银行卡号等重要信息,方可完成注册。这样一来,一旦相关网络企业的系统被不法分子攻击,就很有可能导致个人信息泄露。而入侵者借机利用技术手段对信息进行肆意篡改,或者增添内容或者删除内容,或修改内容,最后再将所有信息打包整理发送到指定接收地点。这种做法既严重阻碍了电子商务交易的正常操作,又破坏了信息的完整性和真实性。
3假冒信息
由于不法分子入侵网络得逞之后,掌握了全部消费者信息,这时可以在按自己意愿篡改信息后假冒合法的客户对信息进行接收和发送。而计算机网络本身具有的虚拟特性使得交易双方很难识别信息的真伪,侵害了消费者的合法权益。惯用的手法是伪造客户的收货单据或订货凭证,随意更改交易流程的允许访问权限设置等。
二计算机安全技术在电子商务中的应用
1防火墙技术
防火墙技术好比保护电子商务交易安全进行的一道隔离墙,有效防止外部违法入侵,同时对计算机病毒进行全程时时隔离,将本机与复杂、危险的外部网络进行隔离控制。主要包括包过滤技术防火墙、服务防火墙和地址迁移防火墙。
2数据加密技术
防火墙技术本身也有一些不可避免的缺陷:对于一些靠数据驱动的入侵无法进行拦截;对一些不易被察觉的携带病毒的文件没有抵抗力,一旦进行下载就会使病毒迅速扩撒,导致计算机中毒;对一些绕过防火墙拦截的软件,对电脑主机实行攻击,找计算机漏洞进行病毒攻击。而这时就需要数据加密技术来弥补防火墙技术的缺憾,运用对称加密和分对称加密,在信息交换环节通过公开密钥体系进行完整的加密,保证电子商务交易与信息传送的安全、畅通。
3身份识别技术
用户需要在首次注册时填写个人身份证信息,网络管理员对个人信息进行综合审核后,合格者允许通行,放开其对网络资源的使用权限。在电子商务中身份鉴别是必不可少的环节,通过此技术可以准确的识别对方身份的真实性,可以保证交易的安全。随着技术的发展,身份识别技术的种类也在不断扩大,包括智能卡鉴别技术、口令身份识别技术。尽管如此,但是这种技术仍然处在发展阶段,需要不断改进,但是研究成本较高,花费时间较长,受到各方面因素的限制,需要我们共同努力进行技术研发。
三结束语
篇8
[关键词]电子商务计算机安全技术
随着电子商务不断的扩大影响,势必将成为一种新型的交易模式走入人们日常生活,计算机技术与其是密不可分,相辅相成的。电子商务的发展将带动计算机技术应用的更加广泛,计算机技术的进步将推动电子商务的蓬勃发展。而其在发展的过程中安全问题也变得越来越突出,可以说,没有安全就没有电子商务。
一、电子商务网络的安全隐患
1.窃取信息。(1)交易双方进行交易的内容被第三方窃取。(2)交易一方提供给另一方使用的文件被第三方非法使用。
2.篡改信息。电子的交易信息在网络传输的过程中,可能被他人非法的修改、删除这样就使信息失去了真实性和完整性。
3.假冒。第三方可以冒充合法用户发送假冒的信息或者主动获取信息,有可能假冒一方的信誊或盗取被假冒一方的交易成果等。
4.恶意破坏。由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,破坏网络的硬件或软件而导致交易信息传递丢失与谬误。计算机网络本身容易遭到一些恶意程序的破坏,而使电子商务信息遭到破坏。
二、电子商务的安全要求
1.交易者身份的可认证性。在传统的交易中,交易双方往往是面对面进行活动的,这样很容易确认对方的身份。即使开始不熟悉,不能确信对方,也可以通过对方的签名、印章、证书等一系列有形的身份凭证来鉴别身份。然而,在进行网上交易时,情况就大不一样了,因为网上交易的双方可能素昧平生,相隔千里,并且在整个交易过程中都可能不见一面。要使交易成功,首先要能验证对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店是不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。
2.信息的机密性。由于电子商务是建立在一个开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。当交易双方通过Internet交换信息时,如果不采取适当的保密措施,就可能将通信内容泄密;另外,在网络上的文件信息如果不加密的话,也有可能被黑客窃取。上述种种情况都有可能造成敏感商业信息的泄漏,导致商业上的巨大损失。因此,电子商务一个重要的安全需求就是信息的保密性。这意味着,一定要对敏感信息进行加密,即使别人截获或窃取了数据,也无法识别信息的真实内容,以使商业机密信息难以被泄漏。
3.信息的真实完整性。信息输入时的意外差错或欺诈行为、传输过程中信息的丢失、重复或传送次序差异都会导致贸易各方信息的不同。交易的文件是不可被修改的,应该保证接受方收到的信息确实是发送方发送的,中途没有被非法用户篡改过。电子交易文件必须做到不可修改,以保障交易的严肃和公正。
三、电子商务交易中的一些网络安全技术
针对以上问题现在广泛采用了身份识别技术、数据加密技术、数字签名技术和放火墙技术。
1.身份识别技术。通过电子网络开展电子商务,身份识别问题是一个必须解决的问题。一方面,只有合法用户才可以使用网络资源,所以网络资源管理要求识别用户的身份;另一方面,传统的交易方式,交易双方可以面对面地谈判交涉,很容易识别对方的身份。通过电子网络交易方式,交易双方不见面,并且通过普通的电子传输信息很难确认对方的身份。因此,电子商务中的身份识别问题显得尤为突出。
2.数据加密技术。加密技术是电子商务中采取的主要安全措施,贸易方可根据需要在信息交换的阶段使用。目前,加密技术分为两类,即对称加密/对称密钥加密/专用密钥加密和非对称加密/公开密钥加密。现在许多机构运用PKI(publickeyInfrastructur的缩写,即“公开密钥体系”)技术实施构建完整的加密/签名体系,更有效地解决上述难题,在充分利用互联网实现资源共享的前提下从真正意义上确保了网上交易与信息传递的安全。3.智能化防火墙技术。智能防火墙从技术特征上,是利用统计、记忆、概率和决策的智能方法来对数据进行识别,并达到访问控制的目的。新的方法,消除了匹配检查所需要的海量计算,高效发现网络行为的特征值,直接进行访问控制。智能防火墙成功地解决了普遍存在的拒绝服务攻击(DDOS)的问题、病毒传播问题和高级应用入侵问题,代表着防火墙的主流发展方向。新型智能防火墙自身的安全性较传统的防火墙有很大的提高,在特权最小化、系统最小化、内核安全、系统加固、系统优化和网络性能最大化方面,与传统防火墙相比较有质的飞跃。
四、结束语
电子商务安全对计算机网络安全与商务安全提出了双重要求,其复杂程度比大多数计算机网络都高。在电子商务的建设过程中涉及到许多安全技术问题,制定安全技术规则和实施安全技术手段不仅可以推动安全技术的发展,同时也促进安全的电子商务体系的形成。当然,任何一个安全技术都不会提供永远和绝对的安全,因为网络在变化,应用在变化,入侵和破坏的手段也在变化,只有技术的不断进步才是真正的安全保障。
参考文献:
篇9
关键词:互联网 电子商务 网络安全 管理
1 引言
随着互联网的快速发展,人们的生活方式有了非常大的改变,对应的经济社会也受到了巨大的影响。在商业贸易领域,因为网络的快速发展,产生了电子商务这样一种贸易方式。但是电子商务也是经历了一番坎坷的,因为网络的特殊性,在电子商务发展中产生了交易安全的问题,对电子商务的稳定发展带来了一定的冲击。Internet网是一个互连通的自由空间,一些人常常会因为某些目的攻击电子商务网站,比如盗窃资金、商业打击、恶作剧等,导致有些企业的电子商务网站贸易交流受损、服务暂停,甚至出现资金被盗的现象。据有关数据的统计,美国每年因为网络安全问题在经济上造成的损失就达到近百亿美元,而国内的情况也不容乐观。因此,当我们在享受互联网给生活带来的这些好处的时候,网络的安全问题,早已变成电子商务的重大难题,给电子商务企业的发展带来了极大的阻碍。所以,计算机网络安全是电子商务发展过程中所面临的重大挑战和问题。电子商务企业必须从维护顾客利益和自身利益出发,做好安全防范和自身安全管理工作,才能得到持续快速的发展。
2 电子商务面对的网络安全问题
当前,电子商务安全问题受到多方面的影响,不但有技术管理的问题,而且也有网络缺陷的因素,具体地说,直接原因有以下几点:
2.1 网络“黑客”侵犯电子商务网站
网络黑客是专门在网络中利用本身掌握的技术非法强行进入他人网站后台的人,这类人具有高超的网络技术,能够不受电子商务网站技术防护的限制。许多“黑客”篡改内容信息、破坏网站;盗取商户或企业的账户资金,极大地影响了电子商务的正常进行。
2.2 电子商务软件有漏洞
许多软件研发单位研发的技术不成熟的电子商务软件,存在许多安全漏洞,防护极易被外来入侵者利用漏洞攻破,导致电子商务企业受到很大的经济损失;有的企业即使安装了防护软件,但由于软件没有得到及时升级,致使软件丧失了应有防护功能。
2.3 电子商务网络自身存在安全问题
网络具有共享性、开放性等特点,它的设计原则是确保信息传输不会受到局部损坏的影响。所以,对网站安全带来了极大的隐患。特别是对电子商务企业情况更加严峻。
2.4 网站管理的缺失
由于电子商务企业缺乏警惕性,不重视网络安全的管理,通常只有在受到攻击以后才会去加强网站安全;部分企业则以为只要安装了入侵监测系统、杀毒软件、防火墙等安全产品,就能保障网站的安全,所以没有根据企业实际情况制定相应的管理制度,也没有加强技术防范,给入侵者提供了机会。
3 应对的措施
电子商务安全问题是在网络化、电子化技术发展的前提下出现的,所以很多传统的解决办法不能简单地应用过来。电子商务企业想要取得效益,就要从企业的健康发展出发,改善企业的安全管理,提高技术投入。具体的防范措施有: 3.1 安全技术管理需要加强
需要重视电子商务网站的维护、升级等方面,做好每天的安全备份,加强网站服务器的管理。制定安全防范预案,只要发生安全事件,能够得到尽快解决,从而减少损失。使用权威性较强的安全防护软件,并能够正常启动、正常升级,发挥应有的防护功能。
3.2 在电子安全方面扩大管理和技术投入
企业需要加大安全方面的资金投入,购买技术防护设备,加大对技术改造与设备更新的投入。引进安全管理的相关技术,招聘相应的管理人才,并进行适当的待遇倾斜,确保安全管理团队的稳定。
3.3 使用密码管理技术
电子商务中最重要的防范环节是密码管理,要使用先进的密码管理手段,确保能发挥特定的功能,重点有交易信息安全、身份认证安全和账户安全等。
3.4 电子商务企业自身的管理需要得到强化
安全技术是电子商务企业的首要防范措施,但发挥其作用的关键还是严密的管理,只有建立完善的安全防范管理系统,才能保证企业的安全。所以电子商务企业,需要制定安全防护制度,保证明确职责;要有奖惩制度,责任事故的时候,能够做到及时追究,提高技术管理人员的责任意识。
篇10
关键词:中国移动电子商务;现状;问题及对策;趋势
移动电子商务是传统互联网电子商务在移动领域的延伸和发展,是指通过手机、PDA、笔记本电脑等移动通信设备与因特网结合进行信息查询、商务交易及对信息、服务和商品的价值交换等电子商务活动的过程和行为。随着移动通信技术、互联网技术和信息处理技术的快速发展,人们已经不再满足于传统的商务活动,而是希望随时随地进行收发电邮、移动支付、定购各种商品等商务活动,所以移动电子商务成为人们关注和研究的热点。与传统通过台式电脑平台开展的电子商务相比,移动电子商务拥有更为广泛的用户基础,因此,也具有更为广阔的应用前景,特别是在当前3G背景下,移动电子商务正逐渐凭借技术和应用上的优越性,显示出强大的生命力。
一、中国移动电子商务现状
迄今为止,我国移动电子商务技术的发展经历了三个阶段。第一个阶段是以短讯为基础的技术;第二个阶段的移动电子商务采用基于WAP技术的方式;第三个阶段是以2009年发放牌照为标志、能够实现无缝漫游和移动宽带的3G时代。3G背景下,无线通信产品能够为人们提供速度高达2Mb/s的宽带多媒体业务,支持高质量的语音分组交换数据多媒体业务和多用户速率通信。
(一)移动客户群庞大
根据工业和信息化部的数据显示,2009年中国手机终端的数量已经达到7.74亿,接近上网用户数量的3倍,而来自CNNIC的数据显示,2009年底中国手机网民的数量已突破2.33亿,手机网民规模呈现迅速增长的势头。这表明我国移动电子商务业务的发展具有巨大的潜力。艾瑞咨询预计,2011年移动电子商务营收规模将达到1.7亿元。
(二)国家政策支持
包括移动电子商务在内的电子商务被列入了2006年3月颁布的《国民经济和社会发展信息化“十一五”规划》。2007年6月,发改委与原国务院信息办又专门出台了《电子商务发展“十一五”规划》,其中移动电子商务试点工程作为六大重点引导工程之一。规划中明确指出“鼓励基础电信运营商、电信增值业务服务商、内容服务提供商和金融服务机构相互协作,建设移动电子商务服务平台”、“发展小额支付服务、便民服务和商务信息服务,探索面向不同层次消费者的新型服务模式”,并确定了转变经济发展方式、方便百姓生活和带动战略产业发展的三大目标,三大目标正在逐步实现,初步显现了移动电子商务巨大的效益和潜力。
(三)无线基础设施建设迅速
近年来,政府加大了对电信基础建设的投资力度,中国移动、中国电信和中国联通三大电信运营商在2009年8月前完成了其3G网络的第一阶段部署工作。基于CDMA的3G服务,即中国电信的CDMA2000和中国联通的WCDMA,发展迅速。相比之下,中国移动的TD-SCDMA3G技术的商业化进程比预期缓慢。在网络部署方面,中国电信在3G领域方面动作最快,预计它将发动价格战以吸引更多的用户。3G网络的铺设,加速了我国移动电子商务的发展。
二、目前中国移动电子商务所面临的问题及对策
(一)理论研究欠缺
综观近年来研究移动电子商务的学术论文,虽然论文的数量呈现增长趋势,但是研究内容大都是“移动安全”和“无线移动通信系统”方面的论文,而且研究方法仅仅停留在非实证研究的层次上,研究深度不够,显示出移动电子商务新应用研究创新的不足。应根据我国移动电子商务的发展,采取实证的方法,加强对移动电子商务行为、模式、安全和跨文化等方面的研究。